Una sola password utilizzando il cellulare [chiuso]

Naviga le tue risposte
3

È lecito ritenere che la maggior parte degli utenti che accedono a Internet posseggano anche i telefoni cellulari. Così possiamo approfittare di questo e alleviare gli utenti di ricordare qualsiasi password.

Invece di registrare utenti sul sito web, il sito può registrare i propri telefoni cellulari. Il numero di cellulare viene utilizzato da gmail come autenticazione facoltativa del secondo fattore.

È possibile progettare e implementare tali schemi in cui l'utente effettua sempre il login utilizzando password monouso e non deve ricordare alcuna password per nessuno dei siti Web? Se il telefono cellulare viene perso, tutti gli account vengono compromessi. Per contrastare che il telefono cellulare avrà 1 password principale o una password biometrica. Oltre a risparmiare agli utenti l'onere di conformarsi alle diverse norme sulla password di ogni sito, tali schemi prevengono anche gli attacchi offline poiché non ci sono password memorizzate sul server.

È possibile progettare schemi o protocolli così convenienti in modo che gli utenti non debbano ricordare alcuna password?

    
posta Curious 17.09.2014 - 07:19
fonte

2 risposte

3

Utilizzare il cellulare come singolo fattore di autenticazione sarebbe molto brutto.

The mobile phone number is being used by gmail as the optional second-factor authentication

La parte di importazione qui è "secondo fattore". Sembra che tu stia proponendo di usare il cellulare come un unico fattore di autenticazione. Sarebbe molto brutto perché il telefono cellulare non è sicuro. Se il tuo dispositivo viene compromesso, anche l'autore dell'attacco otterrà l'accesso alla tua pagina web.

Come su un normale computer ci sono molti modi per attaccare un telefono. Pensa all'exploit remoto o a un'app malvagia. Se perdi il tuo telefono è ancora peggio. Se non hai crittografato completamente il dispositivo, la schermata di blocco non ti protegge. Anche con la crittografia, l'utente malintenzionato potrebbe forzare la password.

In ogni caso usare il cellulare come secondo fattore è una buona idea, ma non può sostituire una password.

A proposito: le password biometriche sono cattive perché per lo più puoi copiarle molto facilmente e hai grossi problemi a cambiarle.

Aggiornamento in risposta al commento: gestore password e password una tantum tramite cellulare

I telefoni cellulari e i gestori di password sono molto diversi. Uno è un dispositivo prevalentemente non protetto che è molto probabile che vada perso, mentre l'altro è un file crittografato su un dispositivo.

È possibile intercettare la password unica durante l'invio al dispositivo (l'SMS non è crittografato). HTTPS potrebbe essere rotto. I numeri di telefono possono essere dirottati e indirizzati ad altri dispositivi. Dovresti autenticare il tuo telefono sul sito web.

Supponete di averlo fatto e avete completamente crittografato i vostri telefoni con una password sicura. Ora è come un gestore di password? No. I telefoni sono attivati principalmente anche se persi, quindi puoi recupera la chiave di crittografia dalla RAM .

    
risposta data 17.09.2014 - 09:53
fonte
0

Dispositivi come Yubi Key hanno cercato di ottenere questo risultato. Il problema di fondo è che si tratta di un singolo fattore e, se perduto, espone un grave rischio per l'utente.

L'abbinamento con la biometria è anche un campo promettente, ma la tecnologia non è ancora pronta. Tutto ciò che misura per la biometria può cambiare nel tempo perché un corpo cambia nel tempo. C'era un braccialetto prototipo che misurava i tuoi battiti del cuore e aggiustava le sue metriche ai sottili cambiamenti nel tuo cuore nel tempo. Era promettente, ma ancora un prototipo.

Uccidere la password è stato un obiettivo per molto, molto tempo. Dobbiamo continuare la discussione.

    
risposta data 17.09.2014 - 16:34
fonte

Leggi altre domande sui tag

Le richieste dispari per health_check.js vengono visualizzate in Fiddler Come funzionano le cartelle condivise con Lastpass